Call Us +39 011 55.84.111

Cookies e data breach: le modifiche al codice privacy apportate dal d.lgs. 69/2012

autore:

Chiara Araldi

Il 1 giugno 2012 è entrato in vigore il D.Lgs. 69/2012 che ha introdotto rilevanti modifiche al Codice in materia di Protezione dei Dati Personali, di cui al D.Lgs. 196/2003 (“Codice Privacy”), per effetto del recepimento delle Direttive Europee n. 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e n. 2009/140/CE in materia di reti e servizi di comunicazione elettronica, nonché del Regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.
Le modifiche introdotte riguardano principalmente le problematiche inerenti ai così detti cookies, nonché ai casi di data breach da parte degli operatori di telecomunicazione.
A tal riguardo, occorre rilevare che l’iter di recepimento di tali Direttive è stato contraddistinto sin dall’inizio da un acceso dibattito sia nazionale, che sovrannazionale: non pochi e non banali, infatti, sono gli obblighi che tali disposizioni di legge pongono a carico degli operatori del mercato delle telecomunicazioni. Le imprese e le associazioni di categoria, in particolare, hanno rilevato come apparissero eccessive parte delle misure ivi previste, soprattutto in tema di ottenimento del possibile previo consenso da parte degli utenti all’utilizzo dei così detti cookies, in considerazione della netta sproporzione sussistente tra l’effettivo beneficio che avrebbero conferito agli utenti e gli oneri che sarebbero stati posti a carico degli operatori.
Anche il Garante della Concorrenza e del Mercato (“AGCM”), nel parere reso su richiesta del Ministero dello Sviluppo Economico sullo schema del D.Lgs. 69/2012 ha espresso le sue perplessità sulla possibile applicazione di un modello di ottenimento del consenso da parte degli interessati basato sulla applicazione di uno stretto regime di opt-in, caldeggiando l’adozione di un sistema meno invasivo e, precisamente, una modalità alternativa mista tra opt-in e opt-out, possibilmente basata sulle impostazioni del browser.
Il testo finale del D.Lgs. 69/2012, pur con le limitazioni del caso, appare aver recepito parzialmente le esigenze manifestate dalle imprese del settore e dall’AGCM, anzitutto laddove il novellato art. 122 del Codice Privacy, nell’imporre l’obbligo di acquisire il consenso degli utenti per l’utilizzo di cookies, definisce tale consenso quale “espresso”, eliminando il riferimento al consenso “preventivo”, contenuto nella traduzione italiana della Direttiva 2009/136/CE. Inoltre, tra i criteri interpretativi cui dovrà attenersi il Garante in materia di Protezione dei Dati Personali (“Garante Privacy”) nell’individuare le specifiche modalità di raccolta del consenso espresso all’utilizzo di cookies, il legislatore ha esplicitamente imposto a tale autorità indipendente di tenere conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale delle categorie economiche coinvolte e di rendere una informativa mediante configurazioni di programmi informatici: sembra quindi sussistere un’apertura da parte del Legislatore ad una metodologia di raccolta del consenso che possa congruamente bilanciare il diritto degli utenti ad essere correttamente informati in merito al trattamento dei loro dati personali con le esigenze operative degli operatori del mercato delle comunicazioni.
Con riferimento al data breach, inoltre, il Legislatore si è limitato a recepire il contenuto della Direttiva 2009/140/CE, allargandone la portata soggettiva soltanto ai soggetti che gestiscono in outsourcing determinati servizi per i fornitori di comunicazione elettronica accessibile al pubblico, senza estendere l’obbligo di porre in essere gli onerosi adempimenti a carico di tutti i titolari del trattamento dei dati, come avviene, ad esempio, in Germania.
Come anticipato, in particolare, il primo importante tema su cui verte l’intervento legislativo riguarda l’utilizzo dei cosiddetti cookies, per cui si intendono quelle stringhe di testo che vengono scambiate tra un server ed un client (quindi tra il server del proprietario del sito web ed il browser del visitatore), con la funzione di consentire al titolare di un sito internet o ad un terzo soggetto di “memorizzare” determinate informazioni relative alla navigazione dell’utente, ai fini di un loro utilizzo automatico durante le successive navigazioni dell’utente (come, ad esempio, la memorizzazione di password di autenticazione in modo che compaiano all’utente in maniera automatica nei suoi successivi accessi ad un sito internet, l’impostazione della lingua utilizzata, la grandezza e il tipo di testo prescelto, la localizzazione dell’indirizzo IP, ecc.). A tal riguardo, occorre precisare che esistono differenti tipologie di cookies: tra i vari, si evidenzia l’esistenza dei cosiddetti cookies di sessione, che si eliminano alla chiusura del browser, e quelli di natura persistente, che al contrario, si eliminano solo dopo un certo periodo di tempo; i c.d. first party cookies (che sono leggibili al solo dominio che li ha creati) e i third party cookies (che sono creati e soggetti a domini diversi da quello effettivamente visitato dall’utente, come ad esempio i Google analytics).
Svolta tale necessaria premessa ai fini di una maggiore comprensione del dettato normativo in analisi, si osserva come il novellato art. 122 del Codice Privacy preveda che le informazioni acquisite mediante l’utilizzo di cookies possano essere trattate unicamente a condizione che l’utente abbia espresso il proprio consenso, dopo essere stato informato mediante una informativa ad hoc, fornita con modalità semplificate. Tali modalità semplificate saranno determinate concretamente dal Garante Privacy: la norma in questione individua, in ogni caso, i due criteri interpretativi a cui il Garante dovrà attenersi per individuare tali modalità: la richiesta del consenso mediante specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per l’utente e l’individuazione di una modalità di acquisizione di tale autorizzazione, che tenga conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e dalle categorie economiche coinvolte.  Dai suddetti obblighi informativi sono esclusi i cookies tecnici, ossia quelle particolari stringhe di testo finalizzate “unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica” o strettamente necessarie “al fornitore di un servizio della società dell’informazione” per erogare un servizio “espressamente richiesto dal contraente o dall’utente”. In linea di massima, pertanto, e nonostante sia in ogni caso necessaria una valutazione in concreto dei cookies al fine di una loro corretta decodifica, sembra potersi affermare che non occorra richiedere il consenso espresso agli utenti nell’ipotesi in cui si utilizzino first party cookies di sessione: tali strumenti infatti, consentono esclusivamente una corretta visualizzazione e funzionalità del sito che l’utente sta visitando, rientrando quindi all’interno della categoria di servizi esplicitamente richiesti dagli utenti. Diversamente, l’utilizzo di third party cookies, che consente al soggetto terzo di raccogliere ed analizzare informazioni con finalità di carattere essenzialmente statistico, non appare rientrare nella suddetta esclusione di legge.
Per quanto attiene il così detto data breach, il novellato art. 32 del Codice Privacy impone l’adozione di alcune misure di sicurezza preventive e/o contenitive ed obblighi informativi nel caso di accesso indebito ad una banca dati.
La portata soggettiva della suddetta norma riguarda sia i fornitori di un servizio di comunicazione elettronica accessibile al pubblico, sia tutti quei soggetti cui è affidata l’erogazione di tale servizio (“Fornitori”), in piena conformità all’evoluzione del mercato delle telecomunicazioni, che ha visto aumentare il numero di players in esso operanti, con un modello di business caratterizzato dalla gestione in outsourcing di numerose attività.
Per “servizio di comunicazione elettronica” si intendono, ex art. 4, comma 2, lett. e) del Codice Privacy, tutti i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva: i titolari obbligati a rispettare le disposizioni di legge introdotte dal D.Lgs. 69/2012, pertanto, appaiono essere soltanto gli operatori delle telecomunicazioni in senso proprio, con l’esclusione, ad esempio, dei soggetti che forniscono dei servizi informatici attraverso le reti di comunicazioni elettroniche, tra cui, ad esempio, gli operatori di e-mail marketing.
Nell’ottica di prevenzione di un evento di data breach, il novellato art. 32 del Codice Privacy prevede che i soggetti che operano sulle reti di comunicazione elettronica siano obbligati a garantire la protezione dei dati personali dalla (i) distruzione anche accidentale; (ii) perdita o alterazione anche accidentale nonché dalla (iii) archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti. Inoltre, essi devono attuare una specifica politica di sicurezza, idonea a prevenire tali eventi nonché informare in modo idoneo i contraenti nel caso in cui dovesse sussistere un particolare rischio di violazione della sicurezza della rete.
Qualora di verifichi un evento di  data breach, il fornitore di servizi di comunicazione elettronica ne deve dare comunicazione, “senza indebiti ritardi”, al Garante Privacy, e, laddove vi sia il pericolo di pregiudizio ai dati personali o alla riservatezza del contraente, anche al contraente stesso. Sulle modalità del data breach notification, il legislatore ha attribuito a tale autorità indipendente  la facoltà di individuare orientamenti ed istruzioni che meglio codifichino le modalità, tempistiche e contenuti di tale informazione.
Infine, i Fornitori dovranno tenere un aggiornato Inventario delle Violazioni, nel quale dovranno essere riportate le circostanze in cui ciascuna violazione si è verificata, le conseguenze ed i provvedimenti adottati per porvi rimedio.
Nel caso in cui il Fornitore non comunichi un caso di data breach al Garante Privacy, è prevista l’erogazione di una specifica sanzione amministrativa pecuniaria da 25.000 a 150.000 euro; qualora, invece, ometta di effettuare la comunicazione ai contraenti, è prevista una ulteriore sanzione amministrativa pecuniaria da 150 a 1.000 euro per ciascun contraente nei cui confronti venga omessa tale comunicazione. La mancanza totale o l’assenza di aggiornamento dell’Inventario delle Violazioni, infine, importa l’erogazione di una ulteriore sanzione pecuniaria amministrativa da 20.000 a 120.000 euro.
Le disposizioni ora analizzate implicano l’adozione di una serie di misure ed adempimenti di non scarsa rilevanza, da parte degli operatori commerciali del settore, cui segue l’erogazione di rilevanti sanzioni: in un’ottica di prudenza, pertanto, potrebbe risultare opportuno aggiornare/ridefinire i rapporti che gli stessi hanno con le proprie società in outsourcing (solitamente nominate Responsabili del trattamento), ad esempio prevedendo l’obbligo di adozione di una procedura di notifica delle violazioni corredata della relativa tempistica, in modo da consentire ai titolari del trattamento di effettuare la comunicazione al Garante Privacy nei modi e nei tempo previsti dalla legge. (C.A.)
D.Lgs 69/2012
Direttiva 2009/136/CE.pdf
Direttiva 2009/140/CE.pdf

agostini
Partner
Milan
decarlo
Partner
Milan
depalma
Partner
Rome
lucaegitto
Partner
Turin
lodigiani1
Partner
Rome
morretta
Partner
Milan
perugini
Partner
Rome
sinelli-rolando
Partner
Milan
togliatto
Partner
Turin
bonomo
Associate
Rome
brandoli
Associate
Milan
cataldi
Associate
Rome
giordano
Associate
Milan
giovine
Associate
Turin
maggia
Associate
Turin
mangili
Associate
Bergamo
mosca
Associate
Milan
paesan
Associate
Milan
rappa
Associate
Milan

Turin
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milan
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Rome
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy